Dernière mise à jour: janvier 19, 2023
Si vous disposez d'un compte HubSpot Entreprise, vous pouvez configurer l'authentification unique à l'aide d'AD FS (Active Directory Federation Services).
Pour utiliser AD FS pour vous connecter à votre compte HubSpot, vous devez répondre aux exigences suivantes :
- Tous les utilisateurs de votre instance Active Directory doivent avoir un attribut d'adresse e-mail.
- Vous utilisez un compte HubSpot Entreprise.
- Vous disposez d'un serveur fonctionnant sous Windows Server 2008, 2012 ou 2019.
Remarque : Ce processus de configuration doit être effectué par un administrateur informatique expérimenté dans la création d'applications dans votre compte de fournisseur d'identité. Découvrez-en davantage sur la configuration de l'authentification unique avec HubSpot.
Avant de commencer
Avant de commencer, prenez note des deux valeurs suivantes de votre compte HubSpot pour configurer le SSO à l'aide de Microsoft AD FS :
- Connectez-vous à votre compte HubSpot.
- Depuis votre compte HubSpot, accédez à l'icône Paramètres dans l'angle supérieur droit.
- Dans la barre latérale gauche, cliquez sur Paramètres par défaut du compte
- Cliquez sur l'onglet Sécurité.
- Cliquez sur Configurer l'authentification unique.
- Dans le panneau coulissant Set up Single sign-on , cliquez sur Microsoft AD FS.
- Prenez note des valeurs Audience URI (Service Provider Entity ID) et Sign on URL, ACS, Recipient, or Redirect car vous devrez les ajouter à Microsoft AD FS au cours du processus de configuration.
1.Ajouter un Relying Party Trust (RPT)
Ouvrez votre gestionnaire AD FS (Active Directory Federation Services :
- Dans votre gestionnaire AD FS, ouvrez le dossier RPT (Relying Party Trusts).
- Dans le menu latéral de droite, sélectionnez Ajouter un Relying Party Trust....
- Dans la boîte de dialogue Ajout d'un Assistant Relying Party Trust, cliquez sur Démarrer pour ajouter un nouveau RPT.
- Dans l'écran Sélectionner une source de données, sélectionnez Entrer manuellement données relatives au correspondant.
- Cliquez sur Suivant >.
- Dans le champ Nom d'affichage, saisissez un nom à des fins internes, que vous pouvez facilement reconnaître.
- Cliquez sur Suivant >.
- Dans l'écran Configurer le certificat, laissez les paramètres par défaut tels quels, puis cliquez sur Suivant>.
- Sélectionnez la case à cocher Activer la prise en charge du protocole SAML 2.0. Dans le champ URL du service SAML 2.0 SSO de la partie utilisatrice , saisissez l' URL de connexion, l'ACS, le destinataire ou l' URL de redirection de votre compte HubSpot.
- Cliquez sur Suivant >.
- Dans le champ Identifiant de la confiance du correspondant :
- Saisissez la valeur Audience URI (Service Provider Entity ID) de votre compte HubSpot.
- Saisissez https://api.hubspot.com, puis cliquez sur Ajouter.
- Cliquez sur Suivant >.
- Dans la fenêtre Choisir une politique de contrôle d'accès, sélectionnez Autoriser tout le monde, puis cliquez sur Suivant >.
- Vérifiez vos paramètres, puis cliquez sur Suivant >.
- Cliquez sur Fermer.
2. Créez des règles de recours
Avant de configurer votre règle de recours, assurez-vous que les adresses e-mail de vos utilisateurs correspondent à celles de leurs utilisateurs HubSpot. Vous pouvez utiliser d'autres identifiants, tels que le Nom d'utilisateur principal (UPN), si vos UPN se présentent sous la forme d'une adresse e-mail. Pour que l'authentification unique avec AD FS fonctionne, le nameID doit être sous la forme d'une adresse e-mail afin de correspondre à un utilisateur HubSpot.
- Dans la fenêtre Règle de recours, cliquez sur Ajouter une règle.
- Cliquez sur le menu déroulant Modèle de règle de recours, puis sélectionnez Envoyer les attributs LDAP en tant que revendications.
- Cliquez sur Suivant >.
- Sur l'écran Configurer une règle de recours :
- Dans le champ Nom de la règle de recours, saisissez un nom de règle.
- Cliquez sur le menu déroulant Magasin d'attributs et sélectionnez Active Directory.
- Dans le tableau Mappage d'attributs LDAP, cartographiez les éléments suivants :
- Dans la colonne Attribut LDAP, cliquez sur le menu déroulant et sélectionnez Adresses e-mail.
- Dans la colonne Type de recours sortant, cliquez sur le menu déroulant et sélectionnez Adresse e-mail.
- Cliquez sur Terminer.
Ensuite, configurez la règle Transformer un recours entrant :
- Cliquez sur Ajouter une règle.
- Cliquez sur le menu déroulant Modèle de règle de recours, puis sélectionnez Transformer un recours entrant.
- Cliquez sur Suivant >.
- Sur l'écran Configurer une règle de recours :
- Saisissez un nom de règle de recours.
- Cliquez sur le menu déroulant Type de recours entrant et sélectionnez Adresse e-mail.
- Cliquez sur le menu déroulant Type de recours sortant et sélectionnez ID du nom.
- Cliquez sur le menu déroulant Format de nom sortant et sélectionnez E-mail.
- Cliquez sur Terminer pour ajouter la nouvelle règle.
- Cliquez sur OK pour ajouter les deux nouvelles règles.
3. Ajustez les paramètres de confiance
Dans le dossier Replying Party Trusts, sélectionnez Propriétés dans le menu de la barre latérale Actions. Cliquez sur l'onglet Avancé et assurez-vous que SHA-256 est spécifié comme algorithme de hachage sécurisé. Bien que SHA-256 et SHA-1 soient tous deux pris en charge, SHA-256 est recommandé.
4. Localisez votre certificat x509 au format PEM
Pour accéder à votre format PEM x509 :
- Accédez à la fenêtre de gestion AD FS. Dans le menu latéral de gauche, accédez à Services > Certificats.
- Localisez le certificat de signature de jeton. Faites un clic droit sur le certificat et sélectionnez Afficher le certificat.
- Dans la boîte de dialogue, cliquez sur l'onglet Détails.
- Cliquez sur Copier vers le fichier.
- Dans la fenêtre Exporter le certificat qui s'ouvre, cliquez sur Suivant.
- Sélectionnez X.509 (.CER) codé en Base 64, puis cliquez sur Suivant.
- Donnez un nom à votre fichier, puis cliquez sur Suivant.
- Cliquez sur Terminer pour terminer l'exportation.
- Localisez le fichier que vous venez d'exporter et ouvrez-le à l'aide d'un éditeur de texte, tel que le Bloc-notes.
- Copiez le contenu du fichier.
5. Complétez votre configuration dans HubSpot
- Connectez-vous à votre compte HubSpot.
- Depuis votre compte HubSpot, accédez à l'icône Paramètres dans l'angle supérieur droit.
- Dans la barre latérale gauche, cliquez sur Paramètres par défaut du compte
- Cliquez sur l'onglet Sécurité.
- Cliquez sur Configurer l'authentification unique.
- Dans le panneau coulissant Set up Single sign-on , cliquez sur Microsoft AD FS.
- Collez le contenu du fichier dans lechamp Certificat X.509
- Retournez à votre gestionnaire AD FS.
- Dans le menu latéral de gauche, sélectionnez le dossier Points de terminaison.
- Recherchez l'URL du point de terminaison du service SSO et de l'entité. L'URL du service SSO se termine généralement par « adfs / services / ls » et l'URL de l'entité se termine par « adfs / services / trust ».
- Revenez à HubSpot. Dans le champ Identifiant ou Émetteur du fournisseur d'identité , saisissez l'URL de l'entité
- Dans le champ URL de l'ouverture de session unique du fournisseur d'identité , saisissez l'URL du service SSO
- Cliquez sur Vérifier.
Remarque : Si vous recevez une erreur lors de la configuration de la connexion unique dans HubSpot, consultez les journaux de l'observateur d'événements sur votre appareil pour le message d'erreur. Si vous ne parvenez pas à résoudre le message d'erreur, contactez le support HubSpot.
